1. 首页>
  2. 资讯中心

【安全预警】关于开源JSON解析库 fastjson <1.2.51版本远程代码执行漏洞的通知

腾讯云 2019年07月18日 浏览1903

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云客户,您好:
       近日,腾讯云安全中心 监测到 开源JSON解析库 fastjson <1.2.51版本被爆存在远程代码执行漏洞,该漏洞被攻击者利用可造成服务器被入侵和业务数据被窃取,目前漏洞已有在野利用。

      为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

 【漏洞详情】
    当用户提交一个精心构造的恶意数据到服务器端,fastjson在反序列化解析该数据时触发漏洞,导致服务器远程任意代码执行
 
【风险等级】
   高风险
 

【漏洞风险】
   远程代码执行

 【影响版本】
   fastjson version < 1.2.51

【安全版本】
   fastjson version >= 1.2.51


【修复建议】


   1)方案一:升级 fastjson,升级到最新版本1.2.58,下载地址:https://github.com/alibaba/fastjson/releases/tag/1.2.58

   2)方案二:移除 fastjson,如需使用 json 解析库建议使用 gson 或 jackson-databind 等组件最新版本替换。

   3)方案三:如果您无法采取方案一和方案二,您可以选用腾讯云Web应用防火墙 AI 防护功能,进行检测和防御。产品链接:https://cloud.tencent.com/product/waf




【漏洞参考】


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013